Mikrotik IBGP

[timonsterrr]

Всех приветствую....нужна помощь по настройке так называемого BGP over OSPF

У меня есть 3 микрота
2 микрота - аггрегируют оспф+БГП с роутерами (так называемые PE), стоящими на узлах (так называемые CE) P1 и PE2
1 - микрот - бордер -поддерживает фул вью с апстримами и сессии с обоими PE роутерами (так называемый pcore, пусть он будет BGP1)

PE1 - устанавливает коннект с BGP1 но ничего не анонсит .... Но тем не менее BGP1 получат от него маршруты, хотя не должен...я их даже специально зафильтровал out фильтром но BGP1 все равно от него их получает (на BGP1 тоже зафильтровал) адрес LO 1.255.0.254
PE2 - точно так же как PE1 устанавливает сессию с BGP1 и анонсит префиксы LO 10.255.0.252 от него BGP1 не получает ничего лишнего, кроме того, что прописано в networks

Настроены PE1 и PE2 в части BGP идентично.
конфиги:
BGP1 адрес LO 100.255.0.1

Код: Выделить всё

/routing bgp instance
set default as=50776 client-to-client-reflection=yes !cluster-id !confederation disabled=yes \
    ignore-as-path-len=no name=default out-filter="" redistribute-connected=no redistribute-ospf=no \
    redistribute-other-bgp=no redistribute-rip=no redistribute-static=no router-id=X.X.X.X routing-table=\
    ""
add as=50776 client-to-client-reflection=no !cluster-id !confederation disabled=no ignore-as-path-len=no name=\
    sibset out-filter="" redistribute-connected=no redistribute-ospf=no redistribute-other-bgp=no \
    redistribute-rip=no redistribute-static=no router-id=0.0.0.0 routing-table=""
add as=50776 client-to-client-reflection=no !cluster-id !confederation disabled=yes ignore-as-path-len=no \
    name=milecom-peer out-filter="" redistribute-connected=no redistribute-ospf=no redistribute-other-bgp=no \
    redistribute-rip=no redistribute-static=no router-id=X.X.X.X routing-table=""
add as=65530 client-to-client-reflection=no !cluster-id !confederation disabled=no ignore-as-path-len=no name=\----------Для PE
    bgp-internal out-filter="" redistribute-connected=no redistribute-ospf=no redistribute-other-bgp=no \
    redistribute-rip=no redistribute-static=no router-id=10.255.0.1 routing-table=""
/routing bgp network   ----------анонс сетей для апстримов
add disabled=no network=X.X.X.X/24 synchronize=no
add disabled=no network=X.X.X.X/24 synchronize=no
add disabled=no network=X.X.X.X/24 synchronize=no
add disabled=no network=X.X.X.X/24 synchronize=no
add disabled=no network=X.X.X.X/24 synchronize=no
add disabled=no network=X.X.X.X/22 synchronize=no
/routing bgp peer
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter=bgp-in-ttk instance=sibset !keepalive-time !max-prefix-limit !max-prefix-restart-time multihop=\
    no name=TTK nexthop-choice=default out-filter=bgp-out-ttk passive=no remote-address=X.X.X.X \
    remote-as=21127 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter=bgp-in-sib instance=sibset !keepalive-time !max-prefix-limit !max-prefix-restart-time multihop=\
    no name=sib_set nexthop-choice=default out-filter=bgp-out-sib passive=no remote-address=X.X.X.X \
    remote-as=47433 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=yes hold-time=3m \
    in-filter=bgp-in-milecomPeer instance=sibset !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=no name=MilecomPeering nexthop-choice=default out-filter=bgp-out-milecomPeer passive=no \
    remote-address=X.X.X.X remote-as=13094 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=\
    default use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=yes hold-time=3m \
    in-filter=bgp-in-milecomPeer instance=sibset !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=no name=MilecomPeering2 nexthop-choice=default out-filter=bgp-out-milecomPeer passive=no \
    remote-address=X.X.X.X remote-as=13094 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=\
    default use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \---------------------PE2
    in-filter=BGP-R2-IN instance=bgp-internal !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=Internal-peer-R2 nexthop-choice=default out-filter=BGP-R2-OUT passive=no remote-address=\
    10.255.0.252 remote-as=65530 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \---------------------PE1
    in-filter=BGP-R1-IN instance=bgp-internal !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=Internal-peer-R1 nexthop-choice=default out-filter=BGP-R1-OUT passive=no remote-address=\
    10.255.0.254 remote-as=65530 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no

Конфиг PE1:

Код: Выделить всё

/routing bgp instance
set default as=65530 client-to-client-reflection=no !cluster-id !confederation disabled=no \
    ignore-as-path-len=no name=default out-filter="" redistribute-connected=no redistribute-ospf=no \
    redistribute-other-bgp=no redistribute-rip=no redistribute-static=no router-id=10.255.0.254 \
    routing-table=""
/routing bgp peer
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Angerosudg nexthop-choice=default out-filter="" passive=no remote-address=\
    10.254.0.50 remote-as=65550 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter=BGP-R1-IN instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-BGP-R1 nexthop-choice=default out-filter=BGP-R1-OUT passive=no \
    remote-address=10.255.0.1 remote-as=65530 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Azot nexthop-choice=default out-filter="" passive=no remote-address=\
    10.254.0.38 remote-as=65538 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Beregovaya nexthop-choice=default out-filter="" passive=no remote-address=\
    10.254.0.58 remote-as=65558 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Berezovskiy-sh3 nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.52 remote-as=65552 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-MariinskKot nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.63 remote-as=65563 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Mariinsk-Lib nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.26 remote-as=65526 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Mariinsk-Baim nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.67 remote-as=65567 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Kedrovka nexthop-choice=default out-filter="" passive=no remote-address=\
    10.254.0.27 remote-as=65527 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Promishlennaya nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.28 remote-as=65528 remove-private-as=no route-reflect=no tcp-md5-key="" \
    ttl=default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never disabled=no hold-time=3m \
    in-filter="" instance=default !keepalive-time !max-prefix-limit !max-prefix-restart-time \
    multihop=yes name=peer-Guravlevo nexthop-choice=default out-filter="" passive=no remote-address=\
    10.254.0.29 remote-as=65529 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=default \
    update-source=loopback0 use-bfd=no

КОнфиг PE2

Код: Выделить всё

/routing bgp instance
set default as=65530 client-to-client-reflection=no !cluster-id !confederation \
    disabled=no ignore-as-path-len=no name=default out-filter="" \
    redistribute-connected=no redistribute-ospf=no redistribute-other-bgp=no \
    redistribute-rip=no redistribute-static=no router-id=10.255.0.252 \
    routing-table=""
/routing bgp network
add disabled=no network=172.16.137.0/24 synchronize=no
add disabled=no network=172.16.138.0/24 synchronize=no
add disabled=no network=172.16.113.0/24 synchronize=no
add disabled=no network=172.16.115.0/24 synchronize=no
add disabled=no network=172.16.117.0/24 synchronize=no
add disabled=no network=172.16.119.0/24 synchronize=no
add disabled=no network=172.16.122.0/24 synchronize=no
add disabled=no network=172.16.123.0/24 synchronize=no
add disabled=no network=172.16.124.0/24 synchronize=no
add disabled=no network=172.16.128.0/24 synchronize=no
add disabled=no network=172.16.131.0/24 synchronize=no
add disabled=no network=172.16.135.0/24 synchronize=no
add disabled=no network=172.16.136.0/24 synchronize=no
add disabled=no network=172.16.143.0/24 synchronize=no
add disabled=no network=172.16.144.0/24 synchronize=no
add disabled=no network=172.16.145.0/24 synchronize=no
add disabled=no network=172.16.155.0/24 synchronize=no
add disabled=no network=172.16.156.0/24 synchronize=no
add disabled=no network=172.16.175.0/24 synchronize=no
add disabled=no network=172.16.191.0/24 synchronize=no
add disabled=no network=172.16.243.0/24 synchronize=no
add disabled=no network=172.16.244.0/24 synchronize=no
add disabled=no network=172.16.154.0/24 synchronize=no
add disabled=no network=172.16.112.0/24 synchronize=no
add disabled=no network=172.16.254.0/24 synchronize=no
add disabled=no network=10.125.125.0/24 synchronize=no
add disabled=no network=10.125.125.91/32 synchronize=no
add disabled=no network=172.16.132.0/24 synchronize=no
add disabled=no network=172.16.232.0/24 synchronize=no
add disabled=no network=172.16.23.0/24 synchronize=no
add disabled=no network=172.16.20.0/24 synchronize=no
add disabled=no network=172.16.0.0/16 synchronize=no
add disabled=no network=194.190.80.0/22 synchronize=no
add disabled=no network=80.89.138.0/24 synchronize=no
add disabled=no network=10.0.0.0/8 synchronize=no
add disabled=no network=172.16.17.0/24 synchronize=no
add disabled=no network=172.16.39.0/24 synchronize=no
add disabled=no network=172.16.37.0/24 synchronize=no
add disabled=no network=172.16.44.0/24 synchronize=no
add disabled=no network=172.16.130.0/24 synchronize=no
add disabled=no network=172.16.40.0/24 synchronize=no
add disabled=no network=172.16.43.0/24 synchronize=no
add disabled=no network=172.16.53.0/24 synchronize=no
add disabled=no network=172.16.45.0/24 synchronize=no
add disabled=no network=172.16.16.0/24 synchronize=no
add disabled=no network=172.16.147.0/24 synchronize=no
/routing bgp peer
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter=BGP-R1-IN instance=default \
    !keepalive-time !max-prefix-limit !max-prefix-restart-time multihop=yes \
    name=BGP-R1 nexthop-choice=default out-filter=BGP-R1-OUT passive=no \
    remote-address=10.255.0.1 remote-as=65530 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Anger-65550 nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.50 remote-as=65550 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=10.255.0.252 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=peer-Azot \
    nexthop-choice=default out-filter="" passive=no remote-address=10.254.0.38 \
    remote-as=65538 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=\
    default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Beregovaya nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.58 remote-as=65558 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Berezovskiy-sh3 nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.52 remote-as=65552 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-MariiskKot nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.63 remote-as=65563 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Mariinsk-Lib nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.26 remote-as=65526 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Mariinsk-Baim nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.67 remote-as=65567 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=peer-Kedrovka \
    nexthop-choice=default out-filter="" passive=no remote-address=10.254.0.27 \
    remote-as=65527 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=\
    default update-source=loopback0 use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=\
    peer-Promishlennaya nexthop-choice=default out-filter="" passive=no \
    remote-address=10.254.0.28 remote-as=65528 remove-private-as=no \
    route-reflect=no tcp-md5-key="" ttl=default update-source=loopback0 \
    use-bfd=no
add address-families=ip !allow-as-in as-override=no default-originate=never \
    disabled=no hold-time=3m in-filter="" instance=default !keepalive-time \
    !max-prefix-limit !max-prefix-restart-time multihop=yes name=peer-Guravlevo \
    nexthop-choice=default out-filter="" passive=no remote-address=10.254.0.29 \
    remote-as=65529 remove-private-as=no route-reflect=no tcp-md5-key="" ttl=\
    default update-source=loopback0 use-bfd=no

От PE1 я вообще не анонсирую ничего, а от PE2 анонсирую кучку префиксов чтобы пустить трафик к ним через PE1


Но BGP1 каким то непонятный способом получает маршруты к сетям CE роутеров от PE1 хотя тот ничего ему не анонсит

[Chupaka]

Но тем не менее BGP1 получат от него маршруты, хотя не должен...

Какие маршруты?

я их даже специально зафильтровал out фильтром но BGP1 все равно от него их получает (на BGP1 тоже зафильтровал)

Не вижу фильтров в приведённой конфигурации

[timonsterrr]

Но тем не менее BGP1 получат от него маршруты, хотя не должен...

Какие маршруты?

я их даже специально зафильтровал out фильтром но BGP1 все равно от него их получает (на BGP1 тоже зафильтровал)

Не вижу фильтров в приведённой конфигурации

Маршруты к внутренним префиксам.

это фильтры на PE1:

/routing filter
add action=discard chain=BGP-R1-OUT prefix=172.16.0.0/16 prefix-length=24
add action=discard chain=BGP-R1-IN prefix=0.0.0.0/0

т.е. роутеру BGP1 он не должен отдавать маршруты с /24 маcкой и от него ничего не должен получать. Фильтр на получение работает, а вот out нет. BGP1 все равно получает от PE1 маршруты к сетям 172.16.0.0 c 24 масками. хотя в нетворкс у PE1 прописаны только:

Код: Выделить всё

/routing bgp network
add network=172.16.0.0/16 synchronize=no

Вот пример маршрута который получает bgp1 от PE1
ip route print where dst-address=172.16.10.0/24
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADb 172.16.10.0/24 10.254.0.26 200

Откуда он его берет, ведь PE1 не анонсирует данную сеть (маршрут рекурсивный к адресу 10.254.0.26 через транспортный интерфейс роутера PE1 10.120.254.2)

[Chupaka]

Не совсем понимаю, что у вас там с фильтрами не так, но глянул ещё раз на конфигурацию... Зачем вам столько автономных систем? Это eBGP, а не iBGP. По умолчанию, как помню, eBGP распространяет инфу о полученных от других пиров маршрутах.

10.254.0.26 - это кто?

[timonsterrr]

Не совсем понимаю, что у вас там с фильтрами не так, но глянул ещё раз на конфигурацию... Зачем вам столько автономных систем? Это eBGP, а не iBGP. По умолчанию, как помню, eBGP распространяет инфу о полученных от других пиров маршрутах.

10.254.0.26 - это кто?

10.254.0.26 - это роутер одной из локаций (его лупбэк)

Зачем столько BPG AS - честно это мой первый опыт проектирования подобной системы, я решил что один автономный узел = одна AS мне показалось, что так будет правильно, нежели объединять их в одну большую AS. Возможно не прав буду рад выслушать аргументы.

[Chupaka]

Одна AS - это, например, одна организация или один провайдер. Делайте себе везде внутри AS 65000, например - и будет счастье, и будет iBGP

[timonsterrr]

Одна AS - это, например, одна организация или один провайдер. Делайте себе везде внутри AS 65000, например - и будет счастье, и будет iBGP

т.е. По сути у меня есть скажем так бордер у него есть какая то AS для стыка с вышестоящими провайдерами о которой имеется запись в райп
и на другом инстансе у него настроена 65530 получается все что внутри сети делать 65530?

[Chupaka]

"AS для стыка" - не совсем корректное высказывание. AS - для вас. Можете её раскатывать по сети, можете (если фул вью не нужен всем маршрутизаторам) уйти в серую 65530 и использовать её для внутренних маршрутов.